יש שתי קטגוריות של כלים מומלצים לביצוע בדיקות אבטחת אפליקציות ברמה 2: כלים מוגדרים מראש וכלים מותאמים אישית. כלי הסריקה שמוגדרים מראש הם OWASP Zed Attack Proxy (ZAP) לסריקה דינמית ו-Fluid Attacks* לסריקה סטטית. קובצי התצורה נוצרו עבור הכלים האלה, וניתן למצוא אותם בקטע הסריקה המוגדרת מראש שבהמשך.
אם אתם כבר סורקים את האפליקציה באמצעות פלטפורמות תואמות ל-CWE, אתם לא צריכים להשתמש בכלים שהוגדרו מראש. במקרה כזה, תצטרכו להעלות מדיניות שמציינת אילו נקודות חולשה בקוד אתם בודקים. הוראות נוספות מפורטות בקטע 'סריקה בהתאמה אישית' בהמשך.
* הערה: כלי הסריקה הסטטי המוגדר מראש לא תואם לאפליקציות TypeScript או JavaScript. אם האפליקציה שלכם מתוכנתת ב-TypeScript או ב-JavaScript, צריך להשתמש באחד מכלי הסריקה הסטטיים בהתאמה אישית.
סריקות שהוגדרו מראש
| כלי הסריקה | Web |
Mobile |
Local |
API |
Extension |
Serverless |
הוראות |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
שימוש ב- OWASP ZAP ; בקונטיינר של ZAP Docker לביצוע סריקות דינמיות אוטומטיות (DAST) נגד האפליקציה. קובצי תצורה מוגדרים מראש כבר כוללים את כל ה-CWE הנדרשים. כל מה שצריך לעשות הוא להוסיף אותו לסביבה ולפקודת ההרצה של Docker. למידע נוסף |
||||||
FluidAttacks Free & Open Source CLI |
משתמשים ב-CLI של FluidAttacks בקוד פתוח כדי לבצע סריקות סטטיות (SAST) אוטומטיות מול האפליקציה. נוצר קובץ אימג' של Docker שכולל את כל ה-CWE הנדרשים. פשוט מסובבים את הקונטיינר ומריצים את פקודת הסריקה בתוכו. מתחילים כאן |
כלים בהתאמה אישית – מס שירותים דיגיטליים (DAST) / SAST
אתם יכולים להשתמש בכל כלי סריקת אפליקציות שתואמים ל-CWE ועומד בדרישות הסריקה בהתאמה אישית ל-CASA.בהמשך מופיעה רשימה של אפשרויות לשימוש מסחרי וקוד פתוח (לא מקיפה) כדוגמאות לכלים שתואמים ל-CWE
כאן מתחילים